Eine verdeckte und raffinierte Sorte von Malware namens „StripedFly“ hat sich lautlos durch die digitale Welt bewegt, über ein halbes Jahrzehnt lang der Entdeckung entgangen. Kaspersky, der renommierte russische Anbieter von Cybersicherheit, hat das Innenleben dieser heimtückischen Malware enthüllt. Die Malware „StripedFly“ wurde als fortschrittliches modulares Framework kategorisiert, das in der Lage ist, sowohl Linux- als auch Windows-Systeme nahtlos zu infiltrieren.
Die heimliche Invasion von StripedFly
Ursprünglich von Kaspersky entdeckt 2017, StripedFly agiert als Teil eines größeren Unternehmens, das einen Kundenstamm anwendet EternalBlue SMBv1-Exploit, bekanntermaßen mit der Equation Group verbunden. Dieser Exploit dient der Malware als Einfallstor, um in öffentlich zugängliche Systeme einzudringen, Bereitstellung eines bösartigen Shellcodes mit der Fähigkeit, Binärdateien von Remote-Repositorys auf Bitbucket herunterzuladen und PowerShell-Skripte auszuführen.
Die Komplexität der Malware wird durch ihre Integration in den legitimen wininit.exe-Prozess deutlich, ein Windows-Initialisierungsmechanismus. Wird als monolithischer binärer ausführbarer Code beschrieben, StripedFly ist für die Unterstützung steckbarer Module konzipiert, Bietet den Angreifern die Flexibilität, die Funktionalität nahtlos zu erweitern oder zu aktualisieren.
Eine vielschichtige Bedrohung
StripedFly hört nicht bei der bloßen Infiltration auf; Anschließend wird das SMBv1-Protokoll auf infizierten Hosts deaktiviert, Verbreitung seiner Böswilligkeit durch Wurmmodule über SMB und SSH. Beständigkeit wird durch verschiedene Mittel erreicht, einschließlich Änderungen in der Windows-Registrierung, Taskplaner-Einträge, oder auf Linux-Systemen, über systemd-Benutzerdienste und automatisch gestartete Dateien.
Über seine verdeckten Operationen hinaus, StripedFly lädt einen Monero herunter Kryptowährung Bergmann, Verwendung von DNS über HTTPS (DoH) bittet darum, seine Anwesenheit zu verbergen. Dieser Bergmann fungiert als Lockvogel, Sie lenken die Aufmerksamkeit strategisch von den unheilvolleren Fähigkeiten der Malware ab und vereiteln Sicherheitssoftware.
Beispielloses Engagement
Was StripedFly auszeichnet, ist sein Engagement für Tarnung und Ausweichen. Die Malware nutzt einen TOR-Netzwerktunnel für die Kommunikation mit Befehlsservern, Verwendung benutzerdefinierter verschlüsselter Archive, die auf vertrauenswürdigen Diensten wie GitLab gehostet werden, GitHub, und Bitbucket. Die Malware verfügt sogar über einen eigenen, leichtgewichtigen TOR-Client, Ein Beweis für die Anstrengungen, die die Bedrohungsakteure unternommen haben, um ihre Befehls- und Kontrollgewalt zu verbergen (C2) Server.
Die Repositories, als Fallback-Mechanismen fungieren, Stellen Sie die Kontinuität der Malware sicher, auch wenn der primäre C2-Server nicht mehr reagiert, Sie weisen einen Grad an Raffinesse auf, der bei Cyber-Bedrohungen selten zu finden ist.
Parallelen zum EternalBlue Exploit
Kaspersky Ermittlung enthüllte faszinierende Parallelen zwischen StripedFly und den Heldentaten der Equation Group, insbesondere das berüchtigte EternalBlue. Dieser Zusammenhang deutet auf die Beteiligung einer Advanced Persistent Threat hin (GEEIGNET) Darsteller, Dies wirft Fragen zu den wahren Ursprüngen und Motiven hinter der Gründung von StripedFly auf.
Trotz der überzeugenden Beweise, Der wahre Zweck von StripedFly bleibt im Dunkeln. Das Rätsel verschärft sich, da der Codierungsstil der Malware dem von STRAITBIZARRE entspricht (SBZ), eine Spionageplattform, die mit einem mutmaßlich mit den USA verbundenen gegnerischen Kollektiv in Verbindung steht.
Unbeantwortete Fragen
Während sich Cybersicherheitsforscher mit der merkwürdigen Natur von StripedFly auseinandersetzen, Es bleiben Fragen über das endgültige Ziel offen. Während die Ransomware-Variante ThunderCrypt, Teilen erheblicher Codeüberschneidungen, deutet auf ein mögliches kommerzielles Motiv hin, Das ausgefeilte Design und der Einsatz von StripedFly stellen herkömmliche Annahmen über die Absicht hinter solch fortschrittlicher Malware in Frage.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: